Versicherungen: „Vor Cyberattacken ist niemand gefeit“

Haben Mittelständler notorisch Berührungsängste vor dem Thema Versicherungen?
Nein, das kann man so nicht sagen. Im Gegenteil. Versicherungen sind vielleicht nicht das Thema, mit dem sich ein Unternehmer tagein/tagaus am liebsten beschäftigt. Muss und soll er auch nicht. Aber die meisten Mittelständler wissen doch ziemlich genau, welche Versicherungen sie für ihren Geschäftsbetrieb brauchen. Insgesamt stellen wir bei unseren Gesprächen fest: Die Sensibilität dafür, das eigene Unternehmen angemessen gegen Risiken von außen und innen absichern zu müssen, ist gestiegen.

Manifestiert sich darin die typische deutsche Vollkaskomentalität?
Das glaube ich nicht. Eher liegt es daran, dass die Risiken, denen sich ein Unternehmen in der vernetzten und globalisierten Wirtschaft ausgesetzt sieht, zugenommen haben – quantitativ wie qualitativ. Denken Sie nur an die Gefahren, die aus der Cyberkriminalität resultieren.

Sind Mittelständler momentan eher über- oder unterversichert?
Zumindest sehe ich aktuell keinen dramatischen Nachholbedarf auf Seiten der Unternehmen. Seit einigen Jahren haben wir einen soften Versicherungsmarkt, soll heißen: Der Wettbewerb unter den Versicherern ist hoch, neue Anbieter kommen in den deutschen Markt. Dadurch sind die Prämien vergleichsweise niedrig. Das hat dazu geführt, dass manche Unternehmen mehr Deckungsschutz eingekauft haben, als sie gemusst hätten.

Wie finde ich als Mittelständler denn heraus, welche Versicherung mein Unternehmen braucht und welche nicht?
Dafür gibt es uns (lacht). Aber im Ernst: Gerade Mittelständler arbeiten üblicherweise mit Beratern zusammen. Das können Makler wie Marsh, aber auch Versicherungsagenturen sein. Wichtig ist, dass die Beratung seriös und umfassend erfolgt – und nicht auf den möglichst flächendeckenden Verkauf von Versicherungsprodukten abzielt.

Was heißt das konkret?
Die Beratung muss auf einer umfassenden und unternehmensspezifisch durchgeführten Risikoanalyse beruhen. Bevor also auch nur die erste Unterschrift auf einem Vertrag geleistet werden kann, gilt es, eine ganze Reihe an Fragen zu beantworten: Wie sieht Ihr Geschäftsmodell aus, womit verdienen Sie Ihr Geld, welche Produkte stellen Sie her, in welche Länder exportieren Sie? Und so weiter. Schritt für Schritt robbt man sich heran. Dabei geht es nicht nur darum, einen möglichst vollständigen Katalog möglicher Risiken zu erstellen. Mindestens genauso wichtig ist es zu erfahren, welche „Risikophilosophie“ ein Unternehmer verfolgt: Kommt es ihm auf die vollständige Absicherung aller nur denkbaren Risiken an, etwa weil sich eventuelle Schäden unmittelbar in der Bilanz niederschlagen? Oder ist er willens und auch wirtschaftlich in der Lage, bestimmte Risiken bewusst selbst zu tragen? Unterschiedliche Risikobereitschaft schlägt sich in den Prämienhöhen nieder.

Wie viel Prozent seines Umsatzes sollte ein Unternehmen für Versicherungsprämien aufwenden?
Angesichts der Komplexität jedes Einzelfalls gibt es dafür keine allgemein gültige Faustformel mehr. Früher hat man gesagt, die Aufwendungen sollten deutlich weniger als ein Prozent des Umsatzes betragen. Heute bewegt sich das eher im Promille-Bereich. Aber so absolut kann man das nicht sagen. Denn zu viele Faktoren spielen eine Rolle: die Volatilität und Komplexität der Risiken etwa und auch das individuelle Geschäftsmodell.

Cyberkriminalität ist derzeit ein Riesenthema. Haben die Mittelständler die Risiken von Hackerangriffen auf dem Schirm?
Ja und nein. Ich glaube, den meisten Unternehmen, auch aus dem Mittelstand, ist durchaus bewusst, dass sie sich vor den Angriffen aus dem Internet schützen müssen – und dass sie sich auch gegen eventuelle Schäden versichern können. Aber welche Risiken sie in ihrem jeweiligen Unternehmen ganz konkret haben – und welche Höhe ein durch Cyberattacken verursachter Schaden haben könnte –, das wissen sie oft nicht.

Aber Sie helfen den Unternehmen sicher gern dabei, sich schlau zu machen?!
Genau (lacht). Wie bei allen anderen Risikoanalysen müssen Sie auch bei Cyberangriffen zwischen möglichen Fremdschäden und Eigenschäden unterscheiden. Wenn durch den Hackerangriff etwa personenbezogene Daten gestohlen werden und Sie einen großen Klientenstamm haben, können sich die Schadensersatzansprüche der betroffenen Kunden schnell summieren. Ein klassischer Eigenschaden infolge eines Hackerangriffs wäre eine Betriebsunterbrechung: Die Computersteuerung Ihrer Fräsmaschine wird lahmgelegt, Sie können nicht mehr produzieren und Ihre Kunden nicht mehr beliefern. Die werden das nicht lange mitmachen, sondern recht bald Regressforderungen stellen. Das kann dem Unternehmen an die Substanz gehen.

Die meisten industriell produzierenden Mittelständler sind gegen Betriebsunterbrechungen versichert. Warum sollten sie also auch noch eine spezielle Versicherung gegen Cyberattacken abschließen?
Die reguläre Betriebsausfall-Versicherung greift nur, wenn Ihre Maschinen oder Anlagen durch einen Sachschaden ausfallen, also etwa, wenn der Betrieb abbrennt. Bei einem Cyberangriff gibt es in der Regel keinen vorangehenden Sachschaden, somit greift sie nicht.

Das klingt einigermaßen dramatisch. Wodurch zeichnen sich Angriffe aus dem Internet denn aus – was macht sie so gefährlich?
Das Tückische an Cyberattacken ist, dass die Unternehmen oft gar nicht oder erst sehr spät merken, dass sie gehackt wurden. Deswegen können sie den Schaden, der ihnen konkret entstanden ist, häufig nicht bestimmen – geschweige denn im Detail beziffern. Bei manchen Mittelständlern ist das vielleicht auch nicht nötig: Wenn Sie über keinen online vernetzten Maschinenpark verfügen, sind die Auswirkungen eines Hackerangriffs auf Ihr Unternehmen womöglich überschaubar. Dann müssen Sie ein, zwei Rechner in Ihrer Buchhaltung austauschen – und das war’s. Anders sieht es aus, wenn Ihre Produktion IoT-gestützt läuft – und vielleicht sogar noch Kundendaten in die falschen Hände geraten sind.

Womit wir wieder bei der Anfangsfrage wären: Sind sich Mittelständler dieser Risiken bewusst?
Leider nicht wirklich. Viele Unternehmen, mit denen wir sprechen, fragen uns: Wer soll uns denn hacken, uns kennen die Cyberkriminellen aus China und Russland doch gar nicht?! Mal abgesehen davon, dass die chinesischen und russischen Hacker die deutsche Unternehmenslandschaft deutlich besser kennen, als es so manchem Geschäftsführer lieb sein dürfte – das ist zu kurz gedacht. Kein Unternehmen – und auch kein Mittelständler aus der Provinz – ist gefeit vor einer Cyberattacke.

Themenwechsel: Wie wichtig sind Geschäftsführerhaftpflichtversicherungen, kurz D&O-Versicherungen, für mittelständische Unternehmen?
Eine D&O-Versicherung halte ich für unbedingt nötig – übrigens auch deswegen, weil es in manchen Situationen gesetzlich vorgeschrieben ist, die Geschäftsführung in Regress zu nehmen. Denken Sie etwa an eine Restrukturierung oder eine Insolvenz. Dem Insolvenzverwalter bleibt in diesen Krisenfällen oft gar keine andere Wahl, als gegen den Geschäftsführer vorzugehen. Als geschäftsführender Gesellschafter würde ich daher sicherstellen, hier adäquat abgesichert zu sein.

Mittlerweile lassen sich auch die wirtschaftlichen Folgerisiken von Unternehmenskäufen oder -verkäufen versichern. Für wie sinnvoll halten Sie solche M&A-Versicherungen?
Grundsätzlich sind M&A-Versicherungen eine feine Sache – und zwar für beide Seiten: Der Investor kann sich gegen finanzielle Risiken absichern, die erst nach dem Abschluss der Transaktion unerwartet sichtbar werden. Und der Verkäufer muss nicht fürchten, dass der Käufer einen großen Teil des Kaufpreises zunächst prophylaktisch zurückhält. Stattdessen bekommt er sein Geld auf einen Schlag direkt nach Vertragsunterschrift. Auch in Deutschland haben sich M&A-Versicherungen in den vergangenen Jahren etabliert.